En effet, je viens de le lire pour vous. Conclusion : il n'y a aucun argument valable.
En revanche, la dernière phrase est intéressante (et ne vient pas de MS) : "Looking at products that come from commercial vendors, it seems the customer has very little guarantee that the software has been reviewed," said one conferee. "Industry has not acquitted itself well."
Traduction : et pan ! dans les dents !
Si, il en a au moins un : que la plupart des produits Open Source ne sont pas systematiquement testes. Il a aussi raison quand il dit que l'argument "given enough eyes, all bugs are shallow" ne remplace pas un code review systematique fait pas des gens competent et payes pour ca.
Il n'y a qu'OpenBSD qui soit une exception. Sinon, il n'y a qu'a voir le nombre de trous causes par des buffer overflow stupides qui sont rapportes regulierement.
Maintenant, il est clair que les editeurs Closed Source ne font pas mieux. Quand un produit est en retard (ce qui arrive 99% du temps), on compresse ce qui est compressible : le code review (quand il y en a) est en general le premier a passer a la trappe. Par ailleurs, il n'est pas dit non plus qu'il soit fait pas des gens qui s'y connaissent en securite (en general il est fait par des programmeurs lambda que ca fait copieusement chier, donc ils baclent).
A tout prendre, l'Open Source est clairement plus sur a long terme, mais l'etat actuel des choses n'est pas brillant non plus.
Oui, mais l'avantage avec du code ouvert, c'est que la faille est corrigée un jour ...
De plus, ce n'est pas pour rien que la plupart des distributions et des projets ne donnent pas de calendrier à l'avance. Comme ça, on n'a pas la tentation de livrer du code alpha aux clients.
Tu te rappelles comme tout le monde se foutait de MS car Win2000 avait eu plus d'un an de retard ?
Tu te rappelles comme tout le monde disait "oui mais on prefere avoir un kernel stable" quand le kernel 2.4 avait eu des mois et des mois de retard ?
Tu peux me donner un exemple de trou de securite dans Windows2000 qui n'a volontairement pas ete corrige ?
- Les ActiveX dans IE.
- Windows Scripting Host omnipresent, avec lequel les hackers de tout poil nous ressortent regulierment des exploits rigolos. Je met dans cette categorie tous les problemes lies aux .vbs qui s'executent par magie...
- le fait qu'il est impossible de faire comme sous Linux ou les BSDs, a savoir monter une machine de prod avec juste ce qu'il faut et pas plus. J'attend voir une install d'IIS sans utiliser les DLL d'IE par exemple... Et puis la necessite d'installer un driver video pour faire tourner un serveur WEB ca me depasse. Remarque, peut-etre qu'IIS utilise la memoire video comme tampon, comme au bon vieux temps des ordinateurs 8-bit familiaux. De toutes facons on pourra pas me prouver le contraire 8-)
- D'une maniere generale tout ce que Windows fait dans ton dos, que pas 1 pour mille - et encore je suis gentil - des utilisateurs comprennent.
Et Microsoft ne fait *rien* pour corriger ces problemes qui sont des problemes de conception.
- Tu peux bloquer l'utilisation des ActiveX dans IE, d'ailleurs seuls les ActiveX certifies comme surs peuvent avoir acces aux fichiers etc... sans eveiller l'attention du systeme. Ce n'est pas un trou de securite.
- Toi tu trouves que c'est un probleme, beaucoup de gens trouvent que non, d'ailleurs ca n'a rien a voir avec la securite. Quand au fait que IIS utilise des DLL de IE, ca s'appelle faire du code modulaire et reutilisable plutot que 4 librairies qui font la meme chose.
NT/Win2k est fait pour les gens qui aiment la GUI, Unix est fait pour les adeptes du command line, c'est 2 approches differentes et je crois pas que qui que ce soit puisse dire qu'une approche est meilleure que l'autre. Sous Unix les admins utilisent telnet, sous Windows les gens utilisent Terminal Server(bien plus rapide que X en remote soi dit en passant).
- Si pas 1 pour mille des users ne comprend ce que fait Windows dans le dos, c'est du au fait que le but de Windows est justement que les users n'aient pas besoin de comprendre ce qu'il se passe pour que ca marche.
Windows c'est fait pour l'admin non-informaticien, Unix c'est fait pour l'admin qui aime tout controler, deux utilisations differentes, deux marches differents.
Si tu achetes quelques bouquins sur Windows et que tu les lis tu comprendras ce qu'il se passe dans le systeme et tu comprendras l'idee derriere la registry(que j'aime pas trop personnelement).
"Inside Windows2000"(Microsoft Press) par exemple explique les entrailles de Win2k des structures du kernel en passant par la registry jusqu'aux techniques d'allocation memoire. D'ailleurs c'est le bouquin qui est donne aux nouveaux ici pour qu'ils comprennent le fonctionnement de l'OS.
Tu bosses dans une petite PME et tu as besoin d'un serveur de fichiers/web, il n'y a pas assez d'outils informatiques ou de ressources pour avoir un administrateur dedie a cette tache, tu as deux trois connaissances d'informatique(mais tu es loin d'etre un initie) donc tu le fais toi-meme.
... et puis la PME grossit devient une boite de 200 personnes et c'est un merdier pas possible :-)
Ca, c'est là ou je bosse (la décence m'interdit de dire où)
A mon avis, soit on fait les choses bien, soit on ne les fait pas. Dans ton cas, la sous-traitance ou la TMA pourrait être une réponse. Et il existe des distrib GNU/Linux ou même un neuneu pourrait installer un serveur Web
Euh tu ne peux executer que des Actives X securisé d'accord mais je me rappelle un certain vbrun.dll qui je crois a avoir a faire avec vbscript. Or il est bourré de fonction d'accés au disk, que n'importe quel Javascript peut executer sur le post client.
Et le probleme des trucs "fait dans le dos" est que 90% du temps quand cela ne marche pas, on réinstalle tout. Pb : quand cela ne marche toujours pas après la 2ieme install.
Pourtant à force de jouer avec des admin non-informaticien vous devriez savoir qu'ils ne comprennent pas forcement l'utiliter des patchs de sécurité (cf. des déclarations de microsoft ne comprennant pas pourquoi les admins n'installaient pas leur patch).
A moins que cela soit après des expériences avec des services pack genre le SP4 de NT, qui modifiait java et faisait planté certaines applis : Ou comment faire croire que Oracle, c'est de la merde car SQL Server arrive a démarer (authentique !). Bref, beaucoup ne font pas confiance en vos mise à jour, sur le thème : "Cela marche bien comme cela, surtout on ne touche à rien!". (une constante d'ailleur chez les utilisateurs MS). Et "souvent", ils ont raison.
Effectivement beaucoup de gens n'ont aucune idee de ce qu'est un patch de securite et c'est un truc qui fait ch*** beaucoup de gens ici.
Pour ca ils ont prevu l'update automatique dans Windows XP, qui devrait eviter pas mal de problemes, bon les excites habituels diront que MS en profite pour passer des infos sur l'individu/la machine a MS(vachement utile vous me direz) mais le fait est que ca aidera pas mal de monde.
Je t'avouerais que effectivement certains service packs de NT 4 etaient des grosses merdes(notamment le 2 et le 6) mais pour Win2k il y a eu de tres gros changements car MS vise maintenant les tres grosses boites et ils peuvent plus se permettre d'avoir un OS qui fait tout merder(c'est tout ca de pris pour l'utilisateur) car sinon les gens upgraderont pas sur Win2k.
Pour ce qui est de vbrun.dll, je sais pas exactement ce qu'il fait(je bosse sur le cote reseau de Win2k), mais le truc est que les vbscript sont executes :
- quand l'user les lance
- si Outlook a une faille de securite et lance automatiquement le script sans qu'on lise l'attachmeent.
Dans le cas 1) ben quel que soit l'OS on y peut rien.
Dans le cas 2) ben c'est une faille dans Outlook et c'est corrige dans Outlook XP qui bloque carrement l'arrivee des .exe,.vbs,...
Perso je trouve que c'est une solution plutot radicale mais ils ont decide que c'etait le moyen le plus sur de proteger l'utilisateur moyen qui est inconscient des problemes que peut engendrer un virus cache sous forme de .vbs ou .exe
"passer des infos sur l'individu/la machine a MS(vachement utile vous me direz) "
Tu plaisantes ? Des entreprises paieraient une fortune pour connaitre l'état des logiciels d'une grosse boite. C'est le meilleur moyen d'affiner une offre commerciale. Il suffit de voir les effort fait lors de la lutte antipiratage (RSA ?) qui renvoyait les formulaires en Irlande.( pour éviter la loi sur l'informatique et les libertés ?)
Pour vbrun.dll le problème est que c'est possible d'éxecuter un activeX dans n'importe quel page web. Genant, non ?
Dans le cas, W98-W95 il n'y a pas de protection system...
Concernant les exe, il suffit just d'empécher de les executer depuis Outlook mais de juste pouvoir les sauver.
>les effort fait lors de la lutte antipiratage (RSA ?)
c'est pas plutot BSA (Business Software Alliance -> un gros tas de vendus) ?
Pour info RSA est un algo de cryptage et une boite specialisée dans la securité sur le net http://www.rsasecurity.com/company/(...) .
A propos des ActiveX, je me souviens du CCC qui avait accès grâce à eux aux comptes en banques de particuliers qui les géraient avec un certain logiciel.
D'autre part, j'ai entendu parler d'un vol de certificats (plus d'infos demains, quand je serai au travail) qui permet à des petits malins ce certifier leurs ActiveX.
L'argument avancé est naze, tous les softs en sont au même point pour ce qui est de la revue du code, qu'ils soient ouverts ou fermés. Les développeurs sont tous valables et les vérifications peuvent être comparables après codage, que les sources soient ensuite livrées ou non.
Le danger que courent les softs opensources est la modification à postériori du code puis sa distribution, mais les garanties pour un soft fermé ne reposent que sur la confiance que l'on accorde à l'éditeur.
Autrement dit, égalité sur le sujet. Cependant, l'expérience (cf. rootshell ou autre) montre que le nombre de failles rencontrées dans des soft fermés (surtout venant de l'éditeur présentement cité: Microsoft) est nettement supérieur à celui que l'on note sur des applicatifs ouverts. Donc soit l'argument "plus d'yeux qui regardent, plus d'erreurs corrigées" n'est peut-être pas aussi fallacieux qu'il n'y parait au premier abord, soit, comme tu le dis, la vérification chez les éditeurs passe trop souvent à la trappe, et à partir de là, contrairement à ce qui peut se passer pour de l'open-source, les erreurs restent jusqu'à un piratage car personne n'a plus les moyens de s'y pencher.
De toute manière, ce genre de discours sécuritaire provenant d'un éditeur notoirement critiqué au niveau de la sécurité de ses produits (quand ce n'est pas carrément au niveau de leur fonctionnement), revient à de la propagande suscitée bien à propos par la découverte récente d'une faille exceptionnelle dans un produit open-source; BIND.
A la place de "Redmond's security response chief", il fallait lire:
"Redmond's security response marketing chief"!!!
Mais vous aviez surement déja relevé l'erreur.
Surtout vu la nouvelle juste au dessus!!!
c'est clair que le mec qui
1) trouve une faille dans les clients rc5
2) pirate les serveurs de distributed.net
a quelques millions de machines en son pouvoir...
# Pas la peine de lire l'article !
Posté par François B. . Évalué à 1.
En revanche, la dernière phrase est intéressante (et ne vient pas de MS) :
"Looking at products that come from commercial vendors, it seems the customer has very little guarantee that the software has been reviewed," said one conferee. "Industry has not acquitted itself well."
Traduction : et pan ! dans les dents !
[^] # Re: Pas la peine de lire l'article !
Posté par Guillaume Laurent (site web personnel) . Évalué à 1.
Il n'y a qu'OpenBSD qui soit une exception. Sinon, il n'y a qu'a voir le nombre de trous causes par des buffer overflow stupides qui sont rapportes regulierement.
Maintenant, il est clair que les editeurs Closed Source ne font pas mieux. Quand un produit est en retard (ce qui arrive 99% du temps), on compresse ce qui est compressible : le code review (quand il y en a) est en general le premier a passer a la trappe. Par ailleurs, il n'est pas dit non plus qu'il soit fait pas des gens qui s'y connaissent en securite (en general il est fait par des programmeurs lambda que ca fait copieusement chier, donc ils baclent).
A tout prendre, l'Open Source est clairement plus sur a long terme, mais l'etat actuel des choses n'est pas brillant non plus.
[^] # Re: Pas la peine de lire l'article !
Posté par François B. . Évalué à 1.
De plus, ce n'est pas pour rien que la plupart des distributions et des projets ne donnent pas de calendrier à l'avance. Comme ça, on n'a pas la tentation de livrer du code alpha aux clients.
[^] # Re: Pas la peine de lire l'article !
Posté par pasBill pasGates . Évalué à 1.
Tu te rappelles comme tout le monde disait "oui mais on prefere avoir un kernel stable" quand le kernel 2.4 avait eu des mois et des mois de retard ?
Tu peux me donner un exemple de trou de securite dans Windows2000 qui n'a volontairement pas ete corrige ?
[^] # Re: Pas la peine de lire l'article !
Posté par ufoot (site web personnel) . Évalué à 1.
- Windows Scripting Host omnipresent, avec lequel les hackers de tout poil nous ressortent regulierment des exploits rigolos. Je met dans cette categorie tous les problemes lies aux .vbs qui s'executent par magie...
- le fait qu'il est impossible de faire comme sous Linux ou les BSDs, a savoir monter une machine de prod avec juste ce qu'il faut et pas plus. J'attend voir une install d'IIS sans utiliser les DLL d'IE par exemple... Et puis la necessite d'installer un driver video pour faire tourner un serveur WEB ca me depasse. Remarque, peut-etre qu'IIS utilise la memoire video comme tampon, comme au bon vieux temps des ordinateurs 8-bit familiaux. De toutes facons on pourra pas me prouver le contraire 8-)
- D'une maniere generale tout ce que Windows fait dans ton dos, que pas 1 pour mille - et encore je suis gentil - des utilisateurs comprennent.
Et Microsoft ne fait *rien* pour corriger ces problemes qui sont des problemes de conception.
[^] # Re: Pas la peine de lire l'article !
Posté par pasBill pasGates . Évalué à 1.
- Toi tu trouves que c'est un probleme, beaucoup de gens trouvent que non, d'ailleurs ca n'a rien a voir avec la securite. Quand au fait que IIS utilise des DLL de IE, ca s'appelle faire du code modulaire et reutilisable plutot que 4 librairies qui font la meme chose.
NT/Win2k est fait pour les gens qui aiment la GUI, Unix est fait pour les adeptes du command line, c'est 2 approches differentes et je crois pas que qui que ce soit puisse dire qu'une approche est meilleure que l'autre. Sous Unix les admins utilisent telnet, sous Windows les gens utilisent Terminal Server(bien plus rapide que X en remote soi dit en passant).
- Si pas 1 pour mille des users ne comprend ce que fait Windows dans le dos, c'est du au fait que le but de Windows est justement que les users n'aient pas besoin de comprendre ce qu'il se passe pour que ca marche.
Windows c'est fait pour l'admin non-informaticien, Unix c'est fait pour l'admin qui aime tout controler, deux utilisations differentes, deux marches differents.
Si tu achetes quelques bouquins sur Windows et que tu les lis tu comprendras ce qu'il se passe dans le systeme et tu comprendras l'idee derriere la registry(que j'aime pas trop personnelement).
"Inside Windows2000"(Microsoft Press) par exemple explique les entrailles de Win2k des structures du kernel en passant par la registry jusqu'aux techniques d'allocation memoire. D'ailleurs c'est le bouquin qui est donne aux nouveaux ici pour qu'ils comprennent le fonctionnement de l'OS.
[^] # Re: Pas la peine de lire l'article !
Posté par I P . Évalué à 1.
Celui qui m'explique le sens de "admin non-informaticien" a gagné une biere.
[^] # Re: Pas la peine de lire l'article !
Posté par pasBill pasGates . Évalué à 1.
Je preferes les Heineken :+)
[^] # Re: Pas la peine de lire l'article !
Posté par Anonyme . Évalué à 0.
La fiabilité de linux ou copains bdd permet de ne pas avoir un gars un plein pour rebooter (appelé parfois administration).
La mise en oeuvre peut demander plus de connaissances pour une solution unix. Mais celle-ci acquise, le travail est terminé.
Alors que chez vous, il commence. Sans compter que chez vous, le budget est déjà bien bouffé par les licences.
philou
[^] # Re: Pas la peine de lire l'article !
Posté par Anonyme . Évalué à 0.
Ca, c'est là ou je bosse (la décence m'interdit de dire où)
A mon avis, soit on fait les choses bien, soit on ne les fait pas. Dans ton cas, la sous-traitance ou la TMA pourrait être une réponse. Et il existe des distrib GNU/Linux ou même un neuneu pourrait installer un serveur Web
[^] # Re: Pas la peine de lire l'article !
Posté par Anonyme . Évalué à -1.
[^] # Re: Pas la peine de lire l'article !
Posté par Anonyme . Évalué à 0.
Et le probleme des trucs "fait dans le dos" est que 90% du temps quand cela ne marche pas, on réinstalle tout. Pb : quand cela ne marche toujours pas après la 2ieme install.
Pourtant à force de jouer avec des admin non-informaticien vous devriez savoir qu'ils ne comprennent pas forcement l'utiliter des patchs de sécurité (cf. des déclarations de microsoft ne comprennant pas pourquoi les admins n'installaient pas leur patch).
A moins que cela soit après des expériences avec des services pack genre le SP4 de NT, qui modifiait java et faisait planté certaines applis : Ou comment faire croire que Oracle, c'est de la merde car SQL Server arrive a démarer (authentique !). Bref, beaucoup ne font pas confiance en vos mise à jour, sur le thème : "Cela marche bien comme cela, surtout on ne touche à rien!". (une constante d'ailleur chez les utilisateurs MS). Et "souvent", ils ont raison.
nicO
[^] # Re: Pas la peine de lire l'article !
Posté par pasBill pasGates . Évalué à 1.
Pour ca ils ont prevu l'update automatique dans Windows XP, qui devrait eviter pas mal de problemes, bon les excites habituels diront que MS en profite pour passer des infos sur l'individu/la machine a MS(vachement utile vous me direz) mais le fait est que ca aidera pas mal de monde.
Je t'avouerais que effectivement certains service packs de NT 4 etaient des grosses merdes(notamment le 2 et le 6) mais pour Win2k il y a eu de tres gros changements car MS vise maintenant les tres grosses boites et ils peuvent plus se permettre d'avoir un OS qui fait tout merder(c'est tout ca de pris pour l'utilisateur) car sinon les gens upgraderont pas sur Win2k.
Pour ce qui est de vbrun.dll, je sais pas exactement ce qu'il fait(je bosse sur le cote reseau de Win2k), mais le truc est que les vbscript sont executes :
- quand l'user les lance
- si Outlook a une faille de securite et lance automatiquement le script sans qu'on lise l'attachmeent.
Dans le cas 1) ben quel que soit l'OS on y peut rien.
Dans le cas 2) ben c'est une faille dans Outlook et c'est corrige dans Outlook XP qui bloque carrement l'arrivee des .exe,.vbs,...
Perso je trouve que c'est une solution plutot radicale mais ils ont decide que c'etait le moyen le plus sur de proteger l'utilisateur moyen qui est inconscient des problemes que peut engendrer un virus cache sous forme de .vbs ou .exe
[^] # Re: Pas la peine de lire l'article !
Posté par Anonyme . Évalué à 0.
Tu plaisantes ? Des entreprises paieraient une fortune pour connaitre l'état des logiciels d'une grosse boite. C'est le meilleur moyen d'affiner une offre commerciale. Il suffit de voir les effort fait lors de la lutte antipiratage (RSA ?) qui renvoyait les formulaires en Irlande.( pour éviter la loi sur l'informatique et les libertés ?)
Pour vbrun.dll le problème est que c'est possible d'éxecuter un activeX dans n'importe quel page web. Genant, non ?
Dans le cas, W98-W95 il n'y a pas de protection system...
Concernant les exe, il suffit just d'empécher de les executer depuis Outlook mais de juste pouvoir les sauver.
nicO
[^] # Re: Pas la peine de lire l'article !
Posté par Anonyme . Évalué à 0.
c'est pas plutot BSA (Business Software Alliance -> un gros tas de vendus) ?
Pour info RSA est un algo de cryptage et une boite specialisée dans la securité sur le net http://www.rsasecurity.com/company/(...) .
[^] # Re: Pas la peine de lire l'article !
Posté par Anonyme . Évalué à 0.
[^] # Re: Pas la peine de lire l'article !
Posté par Andr2 P0WR0ZN1K . Évalué à 1.
D'autre part, j'ai entendu parler d'un vol de certificats (plus d'infos demains, quand je serai au travail) qui permet à des petits malins ce certifier leurs ActiveX.
[^] # Re: Pas la peine de lire l'article !
Posté par Pipo2 . Évalué à 1.
Le danger que courent les softs opensources est la modification à postériori du code puis sa distribution, mais les garanties pour un soft fermé ne reposent que sur la confiance que l'on accorde à l'éditeur.
Autrement dit, égalité sur le sujet. Cependant, l'expérience (cf. rootshell ou autre) montre que le nombre de failles rencontrées dans des soft fermés (surtout venant de l'éditeur présentement cité: Microsoft) est nettement supérieur à celui que l'on note sur des applicatifs ouverts. Donc soit l'argument "plus d'yeux qui regardent, plus d'erreurs corrigées" n'est peut-être pas aussi fallacieux qu'il n'y parait au premier abord, soit, comme tu le dis, la vérification chez les éditeurs passe trop souvent à la trappe, et à partir de là, contrairement à ce qui peut se passer pour de l'open-source, les erreurs restent jusqu'à un piratage car personne n'a plus les moyens de s'y pencher.
De toute manière, ce genre de discours sécuritaire provenant d'un éditeur notoirement critiqué au niveau de la sécurité de ses produits (quand ce n'est pas carrément au niveau de leur fonctionnement), revient à de la propagande suscitée bien à propos par la découverte récente d'une faille exceptionnelle dans un produit open-source; BIND.
# Le closed source, c'est bien.
Posté par Patrice Fortier . Évalué à 1.
[^] # ne pas tout confondre
Posté par Anonyme . Évalué à 0.
[^] # Re: ne pas tout confondre
Posté par François B. . Évalué à 1.
A bon entendeur ...
[^] # Re: ne pas tout confondre
Posté par Patrice Fortier . Évalué à 1.
[^] # Re: ne pas tout confondre
Posté par Anonyme . Évalué à 0.
# erreur de transcription
Posté par imr . Évalué à 1.
"Redmond's security response marketing chief"!!!
Mais vous aviez surement déja relevé l'erreur.
Surtout vu la nouvelle juste au dessus!!!
# il n'empeche que...
Posté par Anonyme . Évalué à 1.
[^] # Re: il n'empeche que...
Posté par Anonyme . Évalué à 0.
1) trouve une faille dans les clients rc5
2) pirate les serveurs de distributed.net
a quelques millions de machines en son pouvoir...
Idem pour SETI@home
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.